本書由淺入深,從原理到實踐�,從攻到防,循序漸進地介紹了備受信息安全行業(yè)青睞的ATT&CK 框架����,旨在幫助相關企業(yè)更好地將 ATT&CK 框架用于安全防御能力建設。全書分為5 部分�,共 17 章,詳細介紹了 ATT&CK 框架的整體架構�,如何利用 ATT&CK 框架檢測一些常見的攻擊組織、惡意軟件和高頻攻擊技術����,以及 ATT&CK 在實踐中的落地應用�,最后介紹了MITRE ATT&CK 相關的生態(tài)項目��,包括 MITRE Engage 以及 ATT&CK 測評��。本書適合網絡安全從業(yè)人員(包括 CISO�����、CSO�、藍隊人員、紅隊人員等)�����、網絡安全研究人員等閱讀����,也可供網絡空間安全、信息安全等專業(yè)教學����、科研、應用人員參考����。
張福,青藤云安全聯(lián)合創(chuàng)始人&CEO,畢業(yè)于同濟大學���,專注于前沿技術研究����,在安全攻防領域有超過15年的探索和實踐�����,曾先后在國內多家知名互聯(lián)網企業(yè)�����,如第九城市�����、盛大網絡���、昆侖萬維�����,擔任技術和業(yè)務安全負責人�。目前,張福擁有10余項自主知識產權發(fā)明專利����、30余項軟件著作權,曾榮獲“改革開放40年網絡安全領軍人物”“ 中關村高端領軍人才”“中關村創(chuàng)業(yè)之星”等稱號�����。程度����,青藤云安全聯(lián)合創(chuàng)始人&COO,畢業(yè)于首都師范大學���,擅長網絡攻防安全技術研究和大數據算法研究���,在云計算安全、機器學習領域有很高的學術造詣���,參與多項云安全標準制定和標準審核工作���,現兼任《信息安全研究》《信息網絡安全》編委,曾發(fā)表多篇論文,并被國內核心期刊收錄�����,曾獲“OSCAR尖峰開源技術杰出貢獻獎”�。胡俊�,青藤云安全聯(lián)合創(chuàng)始人&產品副總裁,畢業(yè)于華中科技大學�����,中國信息通信研究院可信云專家組成員��,入選武漢東湖高新技術開發(fā)區(qū)第十一批“3551光谷人才計劃"�����,曾在百納信息主導了多款工具應用��、海豚瀏覽器云服務的開發(fā)�。青藤云安全創(chuàng)立后,主導開發(fā)“青藤萬相·主機自適應安全平臺”“ 青藤蜂巢·云原生安全平臺”等產品�����,獲得發(fā)明專利10余項,是國家級安全產品專家����,曾發(fā)表多篇論文,并被中文核心期刊收錄��。
第一部分 ATT&CK 入門篇
第 1 章 潛心開始 MITRE ATT&CK 之旅 ............................................ 2
1.1 MITRE ATT&CK 是什么 .............................................................................. 3
1.1.1 MITRE ATT&CK 框架概述 .............................................................. 4
1.1.2 ATT&CK 框架背后的安全哲學 ....................................................... 9
1.1.3 ATT&CK 框架與 Kill Chain 模型的對比 ...................................... 11
1.1.4 ATT&CK 框架與痛苦金字塔模型的關系 ..................................... 13
1.2 ATT&CK 框架七大對象 ............................................................................. 13
1.3 ATT&CK 框架實例說明 ............................................................................. 21
1.3.1 ATT&CK 戰(zhàn)術實例 ......................................................................... 21
1.3.2 ATT&CK 技術實例 ......................................................................... 34
1.3.3 ATT&CK 子技術實例 ..................................................................... 37
第 2 章 基于 ATT&CK 框架的擴展知識庫 .......................................... 41
2.1 針對容器的 ATT&CK 攻防知識庫 ............................................................ 42
2.1.1 執(zhí)行命令行或進程 .......................................................................... 43
2.1.2 植入惡意鏡像實現持久化 .............................................................. 44
2.1.3 通過容器逃逸實現權限提升 .......................................................... 44
2.1.4 繞過或禁用防御機制 ...................................................................... 44
2.1.5 基于容器 API 獲取權限訪問 .......................................................... 45
2.1.6 容器資源發(fā)現 .................................................................................. 45
2.2 針對 Kubernetes 的攻防知識庫 .................................................................. 46
2.2.1 通過漏洞實現對 Kubernetes 的初始訪問 ...................................... 47
2.2.2 執(zhí)行惡意代碼 .................................................................................. 48
2.2.3 持久化訪問權限 .............................................................................. 48
2.2.4 獲取更高訪問權限 .......................................................................... 49
2.2.5 隱藏蹤跡繞過檢測 .......................................................................... 50
2.2.6 獲取各類憑證 .................................................................................. 51
2.2.7 發(fā)現環(huán)境中的有用資源 .................................................................. 52
2.2.8 在環(huán)境中橫向移動 .......................................................................... 53
2.2.9 給容器化環(huán)境造成危害 .................................................................. 54
2.3 針對內部威脅的 TTPs 攻防知識庫 ............................................................ 55
2.3.1 內部威脅 TTPs 知識庫的研究范圍 ............................................... 56
2.3.2 與 ATT&CK 矩陣的關系 ................................................................ 57
2.3.3 內部威脅者常用策略 ...................................................................... 58
2.3.4 針對內部威脅的防御措施 .............................................................. 60
2.4 針對網絡安全對策的知識圖譜 MITRE D3FEND ..................................... 60
2.4.1 建立 D3FEND 的原因 ..................................................................... 61
2.4.2 構建 MITRE D3FEND 的方法論 ................................................... 61
2.5 針對軟件供應鏈的 ATT&CK 框架 OSC&R .............................................. 67
第二部分 ATT&CK 提高篇
第 3 章 十大攻擊組織/惡意軟件的分析與檢測 ...................................... 72
3.1 TA551 攻擊行為的分析與檢測 .................................................................. 73
3.2 漏洞利用工具 Cobalt Strike 的分析與檢測 ............................................... 75
3.3 銀行木馬 Qbot 的分析與檢測 .................................................................... 77
3.4 銀行木馬 lcedlD 的分析與檢測 .................................................................. 78
3.5 憑證轉儲工具 Mimikatz 的分析與檢測 ..................................................... 80
3.6 惡意軟件 Shlayer 的分析與檢測 ................................................................ 82
3.7 銀行木馬 Dridex 的分析與檢測 ................................................................. 83
3.8 銀行木馬 Emotet 的分析與檢測 ................................................................. 85
3.9 銀行木馬 TrickBot 的分析與檢測 .............................................................. 86
3.10 蠕蟲病毒 Gamarue 的分析與檢測 ............................................................ 87
第 4 章 十大高頻攻擊技術的分析與檢測 ............................................. 89
4.1 命令和腳本解析器(T1059)的分析與檢測 ............................................ 90
4.1.1 PowerShell(T1059.001)的分析與檢測 ...................................... 90
4.1.2 Windows Cmd Shell(T1059.003)的分析與檢測 ........................ 92
4.2 利用已簽名二進制文件代理執(zhí)行(T1218)的分析與檢測 .................... 94
4.2.1 Rundll32(T1218.011)的分析與檢測 .......................................... 94
4.2.2 Mshta(T1218.005)的分析與檢測 ............................................... 98
4.3 創(chuàng)建或修改系統(tǒng)進程(T1543)的分析與檢測 ...................................... 102
4.4 計劃任務/作業(yè)(T1053)的分析與檢測 ................................................. 105
4.5 OS 憑證轉儲(T1003)的分析與檢測 .................................................... 108
4.6 進程注入(T1055)的分析與檢測 .......................................................... 111
4.7 混淆文件或信息(T1027)的分析與檢測 .............................................. 114
4.8 入口工具轉移(T1105)的分析與檢測 .................................................. 117
4.9 系統(tǒng)服務(T1569)的分析與檢測 .......................................................... 119
4.10 偽裝(T1036)的分析與檢測 ................................................................ 121
第 5 章 紅隊視角:典型攻擊技術的復現 ........................................... 123
5.1 基于本地賬戶的初始訪問 ........................................................................ 124
5.2 基于 WMI 執(zhí)行攻擊技術 ......................................................................... 125
5.3 基于瀏覽器插件實現持久化 .................................................................... 126
5.4 基于進程注入實現提權 ............................................................................ 128
5.5 基于 Rootkit 實現防御繞過 ...................................................................... 129
5.6 基于暴力破解獲得憑證訪問權限 ............................................................ 130
5.7 基于操作系統(tǒng)程序發(fā)現系統(tǒng)服務 ............................................................ 132
5.8 基于 SMB 實現橫向移動 .......................................................................... 133
5.9 自動化收集內網數據 ................................................................................ 135
5.10 通過命令與控制通道傳遞攻擊載荷 ...................................................... 136
5.11 成功竊取數據 .......................................................................................... 137
5.12 通過停止服務造成危害 .......................................................................... 138
第 6 章 藍隊視角:攻擊技術的檢測示例 ........................................... 139
6.1 執(zhí)行:T1059 命令和腳本解釋器的檢測 ................................................. 140
6.2 持久化:T1543.003 創(chuàng)建或修改系統(tǒng)進程(Windows 服務)的檢測 .. 141
6.3 權限提升:T1546.015 組件對象模型劫持的檢測 .................................. 143
6.4 防御繞過:T1055.001 DLL 注入的檢測 ................................................. 144
6.5 憑證訪問:T1552.002 注冊表中的憑證的檢測 ...................................... 146
6.6 發(fā)現:T1069.002 域用戶組的檢測 .......................................................... 147
6.7 橫向移動:T1550.002 哈希傳遞攻擊的檢測 .......................................... 148
6.8 收集:T1560.001 通過程序壓縮的檢測 .................................................. 149
第 7 章 不同形式的攻擊模擬 .......................................................... 150
7.1 基于紅藍對抗的全流程攻擊模擬 ............................................................ 151
7.1.1 模擬攻擊背景 ................................................................................ 152
7.1.2 模擬攻擊流程 ................................................................................ 153
7.2 微模擬攻擊的概述與應用 ........................................................................ 162
7.2.1 微模擬攻擊計劃概述 .................................................................... 163
7.2.2 微模擬攻擊的應用 ........................................................................ 164
第三部分 ATT&CK 場景與工具篇
第 8 章 ATT&CK 應用工具與應用項目 ........................................... 176
8.1 ATT&CK 四個關鍵項目工具 ................................................................... 177
8.1.1 Navigator 項目 ............................................................................... 177
8.1.2 CARET 項目 .................................................................................. 180
8.1.3 TRAM 項目 ................................................................................... 181
8.1.4 Workbench 項目 ............................................................................. 182
8.2 ATT&CK 實踐應用項目 ........................................................................... 186
8.2.1 紅隊使用項目 ................................................................................ 186
8.2.2 藍隊使用項目 ................................................................................ 188
8.2.3 CTI 團隊使用 ................................................................................ 190
8.2.4 CSO 使用項目 ............................................................................... 195
第 9 章 ATT&CK 四大實踐場景 .................................................... 197
9.1 ATT&CK 的四大使用場景 ....................................................................... 200
9.1.1 威脅情報 ........................................................................................ 200
9.1.2 檢測分析 ........................................................................................ 203
9.1.3 模擬攻擊 ........................................................................................ 205
9.1.4 評估改進 ........................................................................................ 208
9.2 ATT&CK 實踐的常見誤區(qū) ....................................................................... 213
第四部分 ATT&CK 運營實戰(zhàn)篇
第 10 章 數據源是應用 ATT&CK 的前提 ......................................... 218
10.1 當前 ATT&CK 數據源急需解決的問題 ................................................ 219
10.1.1 定義數據源 .................................................................................. 220
10.1.2 標準化命名語法 .......................................................................... 220
10.1.3 確保平臺一致性 .......................................................................... 222
10.2 改善 ATT&CK 數據源的使用情況 ........................................................ 224
10.2.1 利用數據建模 .............................................................................. 225
10.2.2 通過數據元素定義數據源 .......................................................... 226
10.2.3 整合數據建模和攻擊者建模 ...................................................... 226
10.2.4 擴展 ATT&CK 數據源對象 ........................................................ 227
10.2.5 使用數據組件擴展數據源 .......................................................... 228
10.3 ATT&CK 數據源的標準化定義與運用示例 ......................................... 230
10.3.1 改進進程監(jiān)控 .............................................................................. 231
10.3.2 改進 Windows 事件日志 ............................................................. 236
10.3.3 子技術用例 .................................................................................. 239
10.4 數據源在安全運營中的運用 .................................................................. 241
第 11 章 MITRE ATT&CK 映射實踐.............................................. 244
11.1 將事件報告映射到 MITRE ATT&CK .................................................... 245
11.2 將原始數據映射到 MITRE ATT&CK .................................................... 249
11.3 映射到 MITRE ATT&CK 時的常見錯誤與偏差 ................................... 251
11.4 通過 MITRE ATT&CK 編寫事件報告 ................................................... 254
11.5 ATT&CK for ICS 的映射建議 ................................................................ 257
第 12 章 基于 ATT&CK 的安全運營 ............................................... 260
12.1 基于 ATT&CK 的運營流程 .................................................................... 262
12.1.1 知己:分析現有數據源缺口 ...................................................... 262
12.1.2 知彼:收集網絡威脅情報 .......................................................... 263
12.1.3 實踐:分析測試 .......................................................................... 264
12.2 基于 ATT&CK 的運營評估 .................................................................... 267
12.2.1 將 ATT&CK 應用于 SOC 的步驟 .............................................. 267
12.2.2 將 ATT&CK 應用于 SOC 的技巧 .............................................. 271
第 13 章 基于 ATT&CK 的威脅狩獵 ............................................... 274
13.1 ATT&CK 讓狩獵過程透明化 ................................................................. 277
13.2 基于 TTPs 的威脅狩獵 ........................................................................... 280
13.2.1 檢測方法和數據類型分析 .......................................................... 281
13.2.2 威脅狩獵的方法實踐 .................................................................. 283
13.3 基于重點戰(zhàn)術的威脅狩獵 ...................................................................... 302
13.3.1 內部偵察的威脅狩獵 .................................................................. 303
13.3.2 持久化的威脅狩獵 ...................................................................... 305
13.3.3 橫向移動的威脅狩獵 .................................................................. 311
第 14 章 多行業(yè)的威脅狩獵實戰(zhàn) ..................................................... 316
14.1 金融行業(yè)的威脅狩獵 .............................................................................. 317
14.2 企業(yè)機構的威脅狩獵 .............................................................................. 324
第五部分 ATT&CK 生態(tài)篇
第 15 章 攻擊行為序列數據模型 Attack Flow .................................. 332
15.1 Attack Flow 的組成要素 ......................................................................... 333
15.2 Attack Flow 用例 ..................................................................................... 333
15.3 Attack Flow 的使用方法 ......................................................................... 335
第 16 章 主動作戰(zhàn)框架 MITRE Engage ......................................... 341
16.1 MITRE Engage 介紹 ................................................................................ 342
16.1.1 詳解 MITRE Engage 矩陣結構 ................................................... 342
16.1.2 MITRE Engage 與 MITRE ATT&CK 的映射關系 ..................... 344
16.1.3 Engage 與傳統(tǒng)網絡阻斷���、網絡欺騙間的關系 ......................... 344
16.2 MITRE Engage 矩陣入門實踐 ................................................................ 346
16.2.1 如何將 Engage 矩陣整合到企業(yè)網絡戰(zhàn)略中來 ........................ 346
16.2.2 Engage 實踐的四要素 ................................................................. 346
16.2.3 Engage 實踐落地流程:收集�����、分析����、確認�����、實施 ................. 347
16.2.4 對抗作戰(zhàn)實施:10 步流程法 ..................................................... 348
第 17 章 ATT&CK 測評 ............................................................... 352
17.1 測評方法 .................................................................................................. 353
17.2 測評流程 .................................................................................................. 355
17.3 測評內容 .................................................................................................. 357
17.3.1 ATT&CK for Enterprise 測評 ...................................................... 358
17.3.2 ATT&CK for ICS 測評 ................................................................ 361
17.3.3 托管服務測評 .............................................................................. 364
17.3.4 欺騙類測評 .................................................................................. 367
17.4 測評結果 .................................................................................................. 369
17.5 總結 .......................................................................................................... 372
附錄 A ATT&CK 戰(zhàn)術及場景實踐 .................................................. 374
附錄 B ATT&CK 版本更新情況 ..................................................... 395
書單推薦
